La versione finale delle raccomandazioni dell’EDPB sui trasferimenti dei dati basate alla luce della decisione Schrems II impone alle imprese di completare al più presto le loro valutazioni del trasferimento.
Dopo la recente adozione della nuova versione delle Clausole Contrattuali Standard, il pezzo mancante per completare un quadro normativo sui trasferimenti di dati è stato dato dalla versione finale delle raccomandazioni dell’EDPB, la cui bozza era stata pubblicata all’indomani del caso Schrems II che ora è stato finalizzato.
Seguendo le nuove SCC, il cui articolo 14 richiede l’esecuzione di una valutazione del trasferimento basata sulle peculiarità del trasferimento di dati, i commentatori si aspettavano che l’EDBP avrebbe seguito la stessa linea di condotta. Tuttavia, apparentemente, non c’è una coerenza di vedute tra la Commissione europea e le autorità europee di protezione dei dati.
I principali cambiamenti attuati rispetto alla versione precedente sono i seguenti:
- c’è maggiore apertura sui trasferimenti di dati basati sulle deroghe previste dall’articolo 46 del GDPR come il consenso; semplicemente non devono diventare la regola;
- è prevista una valutazione più dettagliata delle pratiche effettive delle autorità pubbliche del paese terzo, che deve coprire anche il transito dei dati e va oltre quanto previsto dalla legge per verificare se le garanzie previste nello strumento di trasferimento possono essere assicurate. Se ci sono leggi problematiche, ma l’esportatore di dati ritiene che non saranno applicate in pratica, deve essere in grado di fornire una relazione documentata che lo dimostri;
- c’è un riferimento all’esperienza pratica dell’importatore di dati nel trattare le richieste di accesso, se la divulgazione di tali informazioni non è impedita dalle leggi del paese importatore di dati.
L’ultimo punto è il più controverso. Apparentemente, l’EDPB ha leggermente spostato l’approccio verso un approccio più personalizzato in linea con la posizione della Commissione europea nelle nuove clausole contrattuali standard. Ma, secondo l’EDPB, i fattori soggettivi come la probabilità di rischio di danno al soggetto dei dati non dovrebbero essere presi in considerazione. Inoltre, l’esperienza pertinente dei dati importati deve riguardare “informazioni pertinenti, oggettive, affidabili, verificabili e pubblicamente disponibili o altrimenti accessibili sull’applicazione pratica della legge pertinente”. Allo stesso tempo, l’assenza di precedenti di richieste ricevute dall’importatore non può essere considerata, da sola, come un fattore decisivo che permette di procedere a un trasferimento senza misure supplementari.
Al contrario, le SCC menzionano espressamente che la valutazione d’impatto del trasferimento deve considerare “le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti”.
Infine, le raccomandazioni dell’EDPB confermano i tipi di misure contrattuali, organizzative e tecniche supplementari che possono permettere un esito positivo della valutazione dell’impatto del trasferimento. Tuttavia, alcune di queste misure rimangono difficili da attuare.
Il fattore principale da considerare è che mentre le Clausole Contrattuali Standard sono giuridicamente vincolanti. Al contrario, le Raccomandazioni EDPB sono semplici raccomandazioni che potrebbero essere contestate in un’eventuale controversia.
Solo questa interpretazione possa essere seguita. Altrimenti, i trasferimenti di dati (e l’economia globale) rischiano di essere paralizzati in un periodo in cui le imprese devono ricominciare a correre dopo la crisi economica.
Questo approccio basato sul rischio è incorporato nella metodologia di trasferimento dei dati di DLA Piper e nello strumento di tecnologia legale che abbiamo sviluppato all’indomani del caso Schrems II, presentato alla maggior parte delle autorità europee di protezione dei dati, e ora ulteriormente perfezionato dopo l’esperienza acquisita con diversi clienti e gli ultimi sviluppi normativi.
Le autorità tedesche per la protezione dei dati stanno già inviando liste di controllo alle aziende per indagare sui loro trasferimenti di dati. Con la versione finale delle raccomandazioni EDPB, altre autorità di regolamentazione seguiranno rapidamente, rendendo l’esecuzione della valutazione del trasferimento un passo normativo che non può più essere rimandato.
Potete sapere di più sulla metodologia adottata da DLA Piper sulla valutazione dei trasferimenti dei dati al di fuori dello SEE in questo articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?”